病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
18182
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个下载木马。运行该病毒会在系统中安装一个消息钩子,定时的到指定网址下载并执行另一病毒。
1、生成的文件,并将其设置为隐藏属性
%ProgramFiles%\InternetExplorer\PLUGINS\WinNice.bak
%ProgramFiles%\InternetExplorer\PLUGINS\WinNice.dll
%ProgramFiles%\InternetExplorer\PLUGINS\Autorun.inf
%ProgramFiles%\InternetExplorer\PLUGINS\Autorun.inf
D:\pagefile.pif
D:\Autorun.inf
2、注册CLSID组件
HKCR\CLSID\{06A68AD9-FF66-3E63-936B-B693E62F6236}\(Default)
HKCR\CLSID\{06A68AD9-FF66-3E63-936B-B693E62F6236}\InProcServer32
"(Default)"="%ProgramFiles%\InternetExplorer\PLUGINS\WinNice.dll"
3、添加启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06A68AD9-FF66-3E63-936B-B693E62F6236}
4、生成Deleteme.bat实现自删除。
手动清除方法:
(1)、使用icesword结束注入explorer.exe的WinNice.dll模块。
(2)、使用icesword删除该病毒生成的文件,清除时如没屏蔽自动播放光盘功能不要直接打开PLUGINS文
件夹和D盘。
(3)、删除该病毒添加的注册表信息即可。
